[ goranmilo @ 24.06.2013. 14:11 ] @
| Koliko istovremenih VPN konekcija može realno podržati MikroTik? Klijenti su PC XP računari sa ADSL konekcijom. Željeni broj je do 50. Ako može, koji hardver? Pozdrav. |
|
[ goranmilo @ 24.06.2013. 14:11 ] @
[ rajco @ 24.06.2013. 14:33 ] @
Nisi detaljno postavio pitanje, ali pretpostavićemo da su neke pptp konekcije jer koristiš XP. Bitna je i količina saobraćaja, ali bilo koji routerboard će ti vršiti posao osim prastarih RB150.
[ bmarkovic06 @ 24.06.2013. 14:46 ] @
Ako radis pptp vpn onda moras obratiti paznju na licencu. Lvl 4 do 200. lvl5 do 500, lvl 6 neogranicen broj. E sad hardverska podrzanost je vec nesto drugo. Sve zavisi sta ce se koristiti kroz VPN. Moja preporuka je da ides sa x86 varijantom. Uzmes neku jeftiniju dual core masinu, namontiras CF karticu i dokupis par LAN kartica i kupis l4 licencu. Ako bas zelis routerBoard onda uzeti ili RB450G ili nesto mocnije, tipa rb1100ahx2, mada nema svrhe za jacim od 450G koji ujedno ima L5 licencu.
Mi u firmi imamo rb493ah i ~20 VPN IPsec konekcija, + 10-ak pptp i sve radi ko ludo. Opterecenost procesora nikad veca od 10%, ali sam VPN se jako slabo koristi. Mala kolicina saobracaja nam ide, oko 15GB mesecno za raznorazne backup-e. U drugom preduzecu radi rb951 sa 15 IPsec konekcija, povezane sve apoteke u vpn i na svakoj lokaciji rb951, opterecenost nikad veca od 20%. Tako da.... sve zavisi sta i koliko ces koristiti. [ goranmilo @ 24.06.2013. 14:57 ] @
Hvala puno.
U pitanju bi bile PPTP VPN konekcije preko kojih bi pc računari vršili upit na bazu podataka. Po rečima programera, saobraćaj ne bi trebao biti veliki. Još jednom..hvala na veoma brzom i detaljnom odgovoru. [ bmarkovic06 @ 24.06.2013. 15:10 ] @
Onda ti nije potreban neki jak routerboard. Realno posao bi ti zavrsio i RB750 ali za svaki slucaj i da te glava ne boli ti uzmi RB450G.
[ bachi @ 24.06.2013. 17:46 ] @
Generalno sam protiv pptp-a, a ako baš idete na to, pročitajte ovo: http://www.livehacking.com/201...hentication-security-advisory/
http://technet.microsoft.com/en-us/security/advisory/2743314 SSTP, IPSec ili OpenVPN što se mene tiče... [ bmarkovic06 @ 24.06.2013. 18:40 ] @
Da je hakobilan, jeste, ali ja vec duze vreme ni na jednom mestu nisam imao problem. Iskreno najvise sam za OpenVPN ali ga je djavolski tesko namestiti na mikrotiku. IPsec moze da zaboravi ako nema staticke adrese ili mikrotikove svuda, ili da na svakoj lokaciji uzme po mikrotik tipa rb750 (najjeftiniji) i da podize IPsec sa skriptama da se proverava javna ip i menja u pirovima. Na centralnoj ako je staticka IP onda nista ne dirati. Samo se kod klijenata mora malo vise podesavati. Da ima svuda staticka ip cisto sumnjam...
[ rajco @ 24.06.2013. 18:52 ] @
Nije neophodno da na udaljenim lokacijama ima statičke ip adrese, dovoljno je da je to slučaj na centralnoj lokaciji.
[ bmarkovic06 @ 24.06.2013. 19:13 ] @
Za pptp nije za IPsec jeste neophodno, jer u poliasama imas SA source i SA dst address koji moras da navedes. Takodje peer mora imati javnu ip odnosno udaljeni uredjaj.
[ rajco @ 24.06.2013. 19:36 ] @
Pogledaj ovaj tutorijal, deo gde je jedna strana dhcp client, odnosno private IP on WAN.
[ bachi @ 24.06.2013. 20:08 ] @
Ne razumem se u Mikrotik, ali znam da openvpn može da radi na njemu, ali samo u TCP varijanti, a ne u UDP, što donekle zna da degradira performanse, ali nije strašno.
Isto koliko vidim, SSTP na mikrotiku može da se namesti. Može i l2tp, bilo šta, osim pptpa. Mislim, stvarno su male šanse da tu neko upadne, neko mora baš da vas cilja, vas i vaše zaposlene, pa da snifuje kada se taj zaposleni kači na vpn server preko nezaštićene lan/wifi mreže, ali opet, od skoro se ms-chapv2 smatra nesigurnim i sve što je bazirano na njemu pada u vodu što se bezbednosti tiče. [ bmarkovic06 @ 24.06.2013. 20:47 ] @
Citat: rajco: Pogledaj ovaj tutorijal, deo gde je jedna strana dhcp client, odnosno private IP on WAN. Hmm zanimljivo, nisam se ovoga setio. tj da kreiram peer sa 0.0.0.0 (svaki ip) i jednostavno se kreira tunel od bilo kud :). Ja sam radio svuda sa dinamickim ip adresama i jednostavno koristim skriptu. Ako nekome treba evo skripte: Code: :global sestkaplaraddnsip [:resolve sestkaplara.ddns.info]; :global sestkaplaralastddnsip [ /ip ipsec policy get [/ip ipsec policy find proposal=sestkaplara ] sa-dst-address ]; :if ($sestkaplaraddnsip != $sestkaplaralastddnsip) do={ :log info ("DDNS_IPSec: UPDATE MOLIKA UMKA!"); :log info [ :do [ /ip ipsec policy set [ /ip ipsec policy find proposal=sestkaplara ] sa-dst-address=$sestkaplaraddnsip ] ]; :log info [ :do [ /ip ipsec peer set [ /ip ipsec peer find address="$sestkaplaralastddnsip/32" port="500" ] address="$sestkaplaraddnsip/32" port="500"] ]; :log info [ :do [ /ip ipsec policy disable [ /ip ipsec policy find proposal=sestkaplara ] ] ]; #:log info [ :do [ /ip ipsec peer disable [ /ip ipsec peer find address="$sestkaplaraddnsip/32" port="500" ] ] ]; :delay 2; :log info [ :do [ /ip ipsec policy enable [ /ip ipsec policy find proposal=sestkaplara ] ] ]; :log info [ :do [ /ip ipsec peer enable [ /ip ipsec peer find address="$sestkaplaraddnsip/32" port="500"] ] ]; } else={ :log info "DDNS_IPSec: Nema promena Sest Kaplara."} Copyright (C) 2001-2024 by www.elitesecurity.org. All rights reserved.
|